← 블로그로 돌아가기
보안 브리핑 9분 읽기 2026년 3월 11일

FortiGate 자격 증명 탈취, KadNap 봇넷 14K 라우터 감염, Microsoft 제로데이 2건 패치

Attackers 익스플로잇 FortiGate firewalls to steal Active Directory 자격 증명s from healthcare and government networks. KadNap 악성코드 hijacks 14,000+ ASUS routers into a stealth proxy 봇넷. Microsoft March Patch Tuesday fixes 2 zero-days and 79 취약점. BlackSanta EDR 킬러가 HR 부서를 타겟팅합니다. HPE가 AOS-CX 스위치의 치명적 인증 우회 취약점을 패치합니다.


1. FortiGate 방화벽 악용한 AD 자격 증명 탈취

🚨 치명적 — 활성 캠페인 Targeting Healthcare & Government

위협 행위자들이 남용하고 있습니다 FortiGate Next-Generation Firewall (NGFW) appliances 피해자 네트워크 침해의 진입점으로. 이 캠페인은 의료, 정부, 관리 서비스 제공업체 환경을 타겟팅합니다, 다음을 포함하는 구성 파일을 추출합니다 service account 자격 증명s 및 네트워크 토폴로지 데이터.

에 따르면 SentinelOne, attackers 익스플로잇 recently disclosed 취약점 — CVE-2025-59718, CVE-2025-59719, and CVE-2026-24858 — or weak 자격 증명s to compromise FortiGate appliances. Because these devices often connect to Active Directory and LDAP for role-based policy enforcement, a compromised appliance hands attackers the keys to the entire authentication infrastructure.

문서화된 한 사건에서, 공격자들은 악성 로컬 관리자 계정을 생성했습니다 named "support," 4개의 허용적인 방화벽 정책을 구성했습니다, and 이후 구성 파일을 복호화했습니다 to extract clear-text LDAP service account 자격 증명s. 그 다음 탐지되기 전에 악성 워크스테이션을 Active Directory에 등록했습니다.

필수 조치: FortiGate 어플라이언스를 최신 펌웨어로 즉시 패치하세요. Rotate all service account 자격 증명s connected to FortiGate. 모든 관리 인터페이스에서 MFA를 활성화하세요. 모니터링 for unauthorized account creation and firewall policy changes.


2. KadNap 봇넷, 14,000개 이상 ASUS 라우터 하이재킹

🚨 치명적 — 14,000+ Devices Compromised, 60% in US

A new 악성코드 called KadNap 14,000개 이상의 엣지 네트워킹 장치를 감염시켰습니다 — 주로 ASUS 라우터 — to power a stealth proxy 봇넷. 피해자의 60% 이상이 미국에 위치합니다.

발견: Black Lotus Labs at Lumen, KadNap 커스텀 버전을 사용합니다 Kademlia Distributed Hash Table (DHT) 프로토콜로 명령 및 제어 인프라를 은닉합니다 P2P 네트워크 내에서, 차단 시도에 대한 높은 복원력을 제공합니다.

침해된 장치는 프록시 서비스로 유입됩니다 called Doppelgänger (a rebrand of the Faceless proxy network), "100% 익명" 주거용 프록시를 판매하는 in 50+ countries. The 악성코드 targets both ARM and MIPS processors, cron 작업을 통해 지속성을 확립합니다, and 복구를 방지하기 위해 포트 22의 SSH 접근을 적극적으로 차단합니다.

DetailInformation
Infected devices14,000+
Primary targetASUS routers
US victims60%+
C2 protocolCustom Kademlia DHT (P2P)
Proxy serviceDoppelgänger (Faceless rebrand)
Active sinceAugust 2025

필수 조치: Update ASUS router firmware immediately. Check for unauthorized cron jobs and unknown processes. If compromised, factory-reset the device. Block known C2 IP 212.104.141.140.


3. Microsoft 2026년 3월 Patch Tuesday: 제로데이 2건, 취약점 79건

⚠️ PATCH NOW — 2 Publicly Disclosed Zero-Days

Microsoft's March 2026 Patch Tuesday addresses 79 security flaws, including 2 publicly disclosed zero-day 취약점 and 3 치명적-rated issues. Two 치명적 원격 코드 실행(RCE) bugs affect Microsoft Office and can be triggered via the preview pane.

Key highlights from 이번 달's patch cycle:

The Copilot-related 취약점 (CVE-2026-26144) is particularly noteworthy — it represents a new attack vector where AI assistants can be weaponized to exfiltrate data without user interaction. This is a harbinger of the AI-enabled attack surface organizations now face.

필수 조치: Deploy all March 2026 patches immediately. Prioritize Office updates due to Preview Pane 익스플로잇ation. Review Copilot Agent permissions and restrict network egress capabilities.


4. BlackSanta EDR 킬러, HR 부서 타겟팅

⚠️ ACTIVE CAMPAIGN — Russian-Speaking Threat Actor

A sophisticated campaign running for over a year delivers a new EDR killer dubbed BlackSanta to human resources departments via spear-피싱 emails with malicious ISO files disguised as resumes.

The attack chain is highly evasive: ISO files contain a Windows shortcut disguised as a PDF, a PowerShell script, and an image hiding malicious code via steganography. The extracted code uses DLL sideloading via a legitimate SumatraPDF executable, performs extensive sandbox and VM detection, then deploys BlackSanta.

BlackSanta systematically disables endpoint detection by:

필수 조치: Alert HR teams about resume-themed 피싱 attacks. Block ISO file attachments at the email gateway. 모니터링 for unauthorized Defender exclusion changes. Implement application allowlisting.


5. HPE AOS-CX 치명적 인증 우회

🚨 치명적 — Admin Password Reset Without Authentication

HPE has patched CVE-2026-23813, a critical authentication bypass in the Aruba Networking AOS-CX operating system that allows unauthenticated remote attackers to reset administrator passwords on CX-series campus and data center switches.

The 취약점 exists in the web-based management interface and requires only low-complexity attacks to 익스플로잇. 다음을 운영하는 모든 조직은 HPE AOS-CX switches 노출된 관리 인터페이스가 있는 경우 즉각적인 위험에 처합니다.

패치가 지연될 경우 완화 조치:


6. APT28, 우크라이나 군에 BEARDSHELL & COVENANT 배포

Russia's APT28 (Fancy Bear / GRU Unit 26165) 우크라이나에 대한 사이버 스파이 캠페인을 계속하고 있습니다, 두 개의 임플란트를 배포합니다 — BEARDSHELL and COVENANT — 우크라이나 군인에 대한 장기 감시를 위해 since April 2024.

ESET reports the arsenal also includes SLIMAGENT, capable of keylogging, screenshot capture, and clipboard data collection. 이 캠페인은 지속적인 사이버 차원을 강조합니다 러시아-우크라이나 분쟁의 그리고 군사 통신에 대한 지속적인 타겟팅.


7. Zombie ZIP 기법으로 보안 도구 우회

A new technique dubbed "Zombie ZIP" 공격자가 할 수 있게 합니다 conceal malicious 페이로드s 특수 제작된 압축 파일에 안티바이러스 및 EDR 탐지를 우회하는. The technique 익스플로잇s differences in how security tools and legitimate archive software parse ZIP files, creating blind spots that 악성코드 can slip through.

필수 조치: 보안 도구가 중첩된 및 비정상적인 아카이브 형식을 검사할 수 있도록 하세요. 모든 압축 파일 첨부 파일의 샌드박싱을 고려하세요 최종 사용자에게 전달되기 전에.


8. CISA: Ivanti EPM 취약점 활성 악용 확인

CISA가 최근 패치된 Ivanti Endpoint Manager (EPM) 취약점 to its Known 악용 Vulnerabilities (KEV) catalog 확인 후 active 익스플로잇ation 실전에서. 다음을 운영하는 조직은 Ivanti EPM 즉시 패치를 우선순위로 두어야 합니다.

패턴은 Ivanti 취약점 being rapidly weaponized continues — 이것은 일련의 치명적 Ivanti 취약점 중 가장 최근의 것입니다 that move from disclosure to 익스플로잇ation in days.


9. BeatBanker Android 악성코드, Starlink 앱으로 위장

A new Android banking trojan called BeatBanker 가짜 Google Play 스토어 웹사이트를 통해 배포되고 있습니다, masquerading as a Starlink application. Once installed, the 악성코드 hijacks devices to intercept banking 자격 증명s and financial transactions.

필수 조치: 공식 Google Play 스토어에서만 앱을 설치하세요. Google Play Protect를 활성화하세요. 가짜 앱 스토어에 대해 사용자를 교육하세요.


10. Microsoft Entra Windows 패스키 지원

긍정적으로, Microsoft가 출시 중입니다 passkey support for Microsoft Entra on Windows devices, enabling 피싱-resistant passwordless authentication via Windows Hello. 이것은 비밀번호 기반 공격을 제거하기 위한 중요한 단계입니다 — organizations 계획을 시작해야 합니다 Entra passkey deployment.


추가 헤드라인

기사영향
아니오rth Korean UNC4899 Breaches Crypto Firm트로이 목마 AirDrop 파일 + 클라우드 기반 기법으로 수백만 달러 암호화폐 탈취
Windows 10 KB5078885 ESU ReleasedWindows 10 확장 보안 업데이트가 제로데이 2건을 포함한 3월 Patch Tuesday 취약점 해결
Malicious npm Package Impersonates OpenClawPackage deploys RAT and steals macOS 자격 증명s, SSH keys, crypto wallets, and iMessage history

KENSAI가 보호하는 방법

엣지 장치 모니터링 — 침해된 장치 탐지 FortiGate, ASUS, and HPE devices 공격자가 더 깊이 침투하기 전에

패치 인텔리전스 — 우선순위 CVE 추적 for Microsoft, Ivanti, and network infrastructure 공개 후 수 시간 내

EDR 무결성 검사 — BlackSanta 스타일의 엔드포인트 보안 구성 변조를 식별합니다

AI 보안 태세 — 모니터링 Copilot and AI agent permissions 데이터 유출 방지 vectors like CVE-2026-26144


권장 조치

  1. 즉시: FortiGate를 최신 펌웨어로 패치. Microsoft 2026년 3월 패치 배포. HPE AOS-CX 스위치 업데이트.
  2. 오늘: Check ASUS routers for KadNap indicators. Rotate all FortiGate-connected service account 자격 증명s. Review Copilot Agent network egress settings.
  3. 이번 주: 이메일 게이트웨이에서 ISO 첨부 파일 차단. Ivanti EPM 배포 감사. Entra 패스키 배포 계획.
  4. 지속: 모니터링 for EDR tampering patterns. Brief HR teams on resume-themed 피싱. Implement zero-trust for network appliance management.

KENSAI로 조직을 보호하세요

AI 기반 취약점 스캐닝 및 지속적 보안 모니터링. 지금 무료 스캔을 시작하세요.

무료 스캔 시작 →

안전하게. 경계하며.

🗡️ KENSAI 보안팀